Эксперт по информационной безопасности Габи Кирлиг специально для издания Forbes изучил смартфон Xiaomi Redmi Note 8 — какие данные о пользователе собирает система, куда их отправляет и в каком виде.
Оказалось, что смартфон Xiaomi сохранял и передавал на сервера компании информацию о многих действиях владельца. Он записывал все сайты, которые открывает пользователь — даже запущенные через защищенный поисковой сервис DuckDuckGo и через режим инкогнито. Устройство также запоминает все открытые папки и запущенные окна. По словам Кирпига, эти данные шифруются и отправляются на сервера Xiaomi в Сингапур и, почему-то, в Россию.
Далее Кирлиг изучил прошивки для других смартфонов — Xiaomi Mi 10, Redmi K20 и Mi MIX 3. Он подтвердил, что в этих моделях код браузера ничем не отличается от первого смартфона, поэтому эти устройства тоже собирают слишком много данных о пользователе.
Проблема даже не в самом сборе данных, а в том, что эти данные плохо шифруются. Кирлиг за несколько минут смог перехватить данные, которые смартфон передает на сервера Xiaomi и расшифровать их. Еще среди этих данных передается уникальный модели устройства, который позволяет легко соотнести информацию с конкретным человеком, отчего пропадает вся анонимность.
Другой эксперт Эндрю Тирни по просьбе журналистов изучил браузеры Mi Browser Pro и Mint Browser от Xiaomi, которые любой желающий может скачать через Google Play. Оказалось, что в них есть точно такая же проблема — они собирают те же данные о посещаемых сайтах и передают на сервера без нормальной защиты.
Ответ Xiaomi
Xiaomi отрицает обвинения в слежке за пользователями и краже персональных данных. Компания уверяет, что заботится о безопасности и собирает только те данные, которые человек разрешил отправлять при подписании пользовательского соглашения. По словам представителей компании, все данные из браузера собираются анонимно. Xiaomi в своем блоге даже опубликовала несколько постов с демонстрацией, какие данные собирает браузер и передает на сервера компании.
